Klasičtí správci předplatných Azure

  • Článek

Důležité

Klasické prostředky a klasické správce budou vyřazeny 31. srpna 2024. Od 3. dubna 2024 nebudete moct přidat nové spolusprávce. Toto datum bylo nedávno prodlouženo. Odeberte nepotřebné spolusprávce a použijte Azure RBAC k jemně odstupňovanému řízení přístupu.

Microsoft doporučuje spravovat přístup k prostředkům Azure pomocí řízení přístupu na základě role v Azure (Azure RBAC). Pokud ale stále používáte model nasazení Classic, budete muset použít klasickou roli správce předplatného: Service Správa istrator a spolu Správa istrator. Informace o tom, jak migrovat prostředky z nasazení Classic na nasazení Resource Manager, najdete v tématu Azure Resource Manager vs. Nasazení Classic.

Pokud stále máte klasické správce, měli byste tato přiřazení rolí odebrat před datem vyřazení. Tento článek popisuje, jak se připravit na vyřazení role spolu Správa istratoru a služby Správa istrator a jak odebrat nebo změnit tato přiřazení rolí.

Nejčastější dotazy

Ztratí Správa istrátory a služba Správa istrator přístup po 31. srpnu 2024?

  • Od 31. srpna 2024 společnost Microsoft zahájí proces odebrání přístupu pro Správa istrátory a Správa istrator služby.

Návody vědět, jaká předplatná mají klasické správce?

  • Pomocí dotazu Azure Resource Graph můžete vypsat předplatná pomocí přiřazení rolí service Správa istrator nebo spolu Správa istrator. Postup najdete v tématu Seznam klasických správců.

Jaká je ekvivalentní role Azure, kterou mám přiřadit pro Správa istrátory?

  • Role vlastníka v oboru předplatného má ekvivalentní přístup. Vlastník je však privilegovaná role správce a uděluje úplný přístup ke správě prostředků Azure. Měli byste zvážit roli funkce úlohy s menším počtem oprávnění, omezit rozsah nebo přidat podmínku.

Jaká je ekvivalentní role Azure, kterou mám přiřadit pro službu Správa istrator?

Proč je potřeba migrovat na Azure RBAC?

  • Klasické správce budou vyřazeni. Azure RBAC nabízí jemně odstupňované řízení přístupu, kompatibilitu s Microsoft Entra Privileged Identity Management (PIM) a plnou podporu protokolů auditu. Všechny budoucí investice budou v Azure RBAC.

A co role account Správa istrator?

  • Účet Správa istrator je primárním uživatelem vašeho fakturačního účtu. Účet Správa istrator není zastaralý a toto přiřazení role nemusíte nahradit. Účet Správa istrator a service Správa istrator může být stejný uživatel. Přiřazení role Správa istratoru však stačí odebrat.

Co mám dělat, když mám silnou závislost na Správa istrátory nebo službě Správa istrator?

  • Pošlete e-mail ACARDeprecation@microsoft.com a popište svůj scénář.

Příprava na vyřazení Správa istrátorů

Pokud stále máte klasické správce, pomocí následujících kroků se připravte na vyřazení role Spolu Správa istrator.

Krok 1: Kontrola aktuálních Správa istrátorů

  1. Přihlaste se k webu Azure Portal jako vlastník předplatného.

  2. Seznam Správa istrátorů pomocí webu Azure Portal nebo Azure Resource Graphu

  3. Zkontrolujte protokoly přihlašování pro vaše spolu Správa istrátory a vyhodnoťte, jestli jsou aktivní uživatelé.

Krok 2: Odebrání Správa istrátorů, které už nepotřebují přístup

  1. Pokud už uživatel není ve vašem podniku, odeberte Správa istrator spolu.

  2. Pokud byl uživatel odstraněn, ale jeho spolu Správa istrator přiřazení nebylo odebráno, odeberte spolu Správa istrator.

    Uživatelé, kteří byli odstraněni, obvykle obsahují text (Uživatel nebyl v tomto adresáři nalezen).

    Snímek obrazovky uživatele, který nebyl nalezen v adresáři a s rolí Spolu Správa istrator

  3. Po kontrole aktivity uživatele, pokud už uživatel není aktivní, odeberte spolu Správa istrator.

Krok 3: Nahrazení stávajících spolu Správa istrátorů rolemi funkcí úloh

Většina uživatelů nepotřebuje stejná oprávnění jako spolu Správa istrator. Místo toho zvažte roli funkce úlohy.

  1. Pokud uživatel stále potřebuje nějaký přístup, určete odpovídající roli funkce úlohy, kterou potřebuje.

  2. Určete potřeby uživatele oboru .

  3. Podle kroků přiřaďte uživateli roli funkce úlohy.

  4. Odeberte Správa istrator.

Krok 4: Nahrazení stávajících spolu Správa istrátorů rolí a podmínek vlastníka

Někteří uživatelé můžou potřebovat více přístupu, než jakou roli funkce úlohy může poskytnout. Pokud musíte přiřadit roli Vlastník , zvažte přidání podmínky pro omezení přiřazení role.

  1. Přiřaďte uživateli roli Vlastník v oboru předplatného s podmínkami .

  2. Odeberte Správa istrator.

Příprava na vyřazení služby Správa istrator

Pokud stále máte klasické správce, pomocí následujícího postupu se připravte na vyřazení role služby Správa istrator. Pokud chcete odebrat službu Správa istrator, musíte mít alespoň jednoho uživatele, který má přiřazenou roli vlastníka v oboru předplatného bez podmínek, aby se zabránilo osamocení předplatného. Vlastník předplatného má stejný přístup jako správce služeb.

Krok 1: Kontrola aktuálního Správa služby

  1. Přihlaste se k webu Azure Portal jako vlastník předplatného.

  2. Pomocí webu Azure Portal nebo Azure Resource Graphu můžete zobrazit seznam Správa istrator služby.

  3. Zkontrolujte protokoly přihlašování pro vaši službu Správa istrator a vyhodnoťte, jestli se jedná o aktivního uživatele.

Krok 2: Kontrola aktuálních vlastníků fakturačních účtů

Uživatel, který má přiřazenou roli service Správa istrator, může být také stejný uživatel, který je správcem vašeho fakturačního účtu. Měli byste zkontrolovat aktuální vlastníky fakturačních účtů a ujistit se, že jsou stále přesné.

  1. Vlastníky fakturačního účtu získáte pomocí webu Azure Portal.

  2. Projděte si seznam vlastníků fakturačních účtů. V případě potřeby aktualizujte nebo přidejte dalšího vlastníka fakturačního účtu.

Krok 3: Nahrazení existujícího Správa istrator služby rolí Vlastník

Vaše služba Správa istrator může být účet Microsoft nebo účet Microsoft Entra. Účet Microsoft je osobní účet, jako je Outlook, OneDrive, Xbox LIVE nebo Microsoft 365. Účet Microsoft Entra je identita vytvořená prostřednictvím ID Microsoft Entra.

  1. Pokud je uživatel služby Správa istrator účtem Microsoft a chcete, aby tento uživatel zachoval stejná oprávnění, přiřaďte mu roli Vlastník v oboru předplatného bez podmínek.

  2. Pokud je uživatel služby Správa istrator účtem Microsoft Entra a chcete, aby tento uživatel zachoval stejná oprávnění, přiřaďte mu roli Vlastník v oboru předplatného bez podmínek.

  3. Pokud chcete změnit uživatele služby Správa istrator na jiného uživatele, přiřaďte tomuto novému uživateli roli Vlastník v oboru předplatného bez podmínek.

  4. Odeberte Správa istrator služby.

Výpis klasických správců

Pomocí následujícího postupu zobrazíte seznam Správa istratoru a spolu Správa správců pro předplatné pomocí webu Azure Portal.

  1. Přihlaste se k webu Azure Portal jako vlastník předplatného.

  2. Otevřete Předplatná a vyberte předplatné.

  3. Vyberte Řízení přístupu (IAM) .

  4. Výběrem karty Klasické správce zobrazíte seznam Správa istrátorů.

    Snímek obrazovky se stránkou Řízení přístupu (IAM) a vybranou kartou Classic Administrators

Odebrání spolusprávce

Důležité

Klasické prostředky a klasické správce budou vyřazeny 31. srpna 2024. Od 3. dubna 2024 nebudete moct přidat nové spolusprávce. Toto datum bylo nedávno prodlouženo. Odeberte nepotřebné spolusprávce a použijte Azure RBAC k jemně odstupňovanému řízení přístupu.

Pomocí těchto kroků odeberte Správa istrator.

  1. Přihlaste se k webu Azure Portal jako vlastník předplatného.

  2. Otevřete Předplatná a vyberte předplatné.

  3. Vyberte Řízení přístupu (IAM) .

  4. Výběrem karty Klasické správce zobrazíte seznam Správa istrátorů.

  5. Přidejte značku zaškrtnutí vedle spolusprávce, kterého chcete odebrat.

  6. Vyberte Odebrat.

  7. V okně se zprávou, které se zobrazí, vyberte Ano.

    Snímek obrazovky s oknem zprávy při odebírání Správa istratoru

Přidání spolusprávce

Důležité

Klasické prostředky a klasické správce budou vyřazeny 31. srpna 2024. Od 3. dubna 2024 nebudete moct přidat nové spolusprávce. Toto datum bylo nedávno prodlouženo. Odeberte nepotřebné spolusprávce a použijte Azure RBAC k jemně odstupňovanému řízení přístupu.

Pokud uživatel potřebuje spravovat klasická nasazení Azure pomocí modulu PowerShellu pro správu služeb Azure, stačí přidat spolu Správa istrator. Pokud uživatel ke správě klasických prostředků využívá pouze Azure Portal, není pro něj nutné přidat klasického správce.

  1. Přihlaste se k webu Azure Portal jako vlastník předplatného.

  2. Otevřete Předplatná a vyberte předplatné.

    Spolu Správa istrátory je možné přiřadit pouze v oboru předplatného.

  3. Vyberte Řízení přístupu (IAM) .

  4. Vyberte kartu Klasičtí správci.

    Snímek obrazovky se stránkou Řízení přístupu (IAM) a vybranou kartou Classic Administrators

  5. Vyberte Přidat>Přidat spolusprávce a otevře se podokno Přidat spolusprávce.

    Pokud je možnost Přidat spolusprávce zakázaná, nemáte oprávnění.

  6. Vyberte uživatele, kterého chcete přidat, a zvolte Přidat.

    Snímek obrazovky s podoknem Přidat spolusprávce pro přidání Správa istratoru

Přidání uživatele typu host jako spolusprávce

Pokud chcete přidat uživatele typu host jako spolusprávce, použijte stejný postup jako v části Přidání spolusprávce výše. Uživatel typu host musí splňovat následující kritéria:

  • Uživatel typu host musí existovat ve vašem adresáři. To znamená, že uživatel dostal pozvánku do vašeho adresáře a přijal ji.

Další informace o tom, jak přidat uživatele typu host do adresáře, najdete v tématu Přidání uživatelů spolupráce Microsoft Entra B2B na webu Azure Portal.

Před odebráním uživatele typu host z adresáře byste nejprve měli odebrat všechna přiřazení rolí pro daného uživatele typu host. Další informace najdete v tématu Odebrání externího uživatele z adresáře.

Rozdíly pro uživatele typu host

Uživatelům typu host s přiřazenou rolí spolusprávce se můžou zobrazovat jiné výsledky než členům s rolí spolusprávce. Zvažte následující scénář:

  • Uživatel A s účtem Microsoft Entra (pracovní nebo školní účet) je služba Správa istrator pro předplatné Azure.
  • Uživatel B má účet Microsoft.
  • Uživatel A přiřadí roli spolu Správa istratoru uživateli B.
  • Uživatel B může dělat téměř všechno, ale nemůže registrovat aplikace nebo vyhledávat uživatele v adresáři Microsoft Entra.

Očekávali byste, že uživatel B může spravovat všechno. Důvodem tohoto rozdílu je, že se účet Microsoft přidá do předplatného jako uživatel typu host místo člena. Uživatelé typu host mají v MICROSOFT Entra ID různá výchozí oprávnění ve srovnání s uživateli členů. Členové mohou například číst ostatní uživatele v MICROSOFT Entra ID a uživatelé typu host nemohou. Členové mohou registrovat nové instanční objekty v Microsoft Entra ID a uživatelé typu host nemohou.

Pokud musí být uživatel typu host schopen provádět tyto úlohy, je možné řešení přiřadit konkrétní role Microsoft Entra, které uživatel typu host potřebuje. V předchozím scénáři můžete například přiřadit roli Čtenáře adresáře ke čtení dalších uživatelů a přiřadit roli Vývojář aplikace, aby bylo možné vytvářet instanční objekty. Další informace o členech a uživatelích typu host a jejich oprávněních naleznete v tématu Jaké jsou výchozí uživatelská oprávnění v Microsoft Entra ID?. Další informace o udělení přístupu uživatelům typu host najdete v tématu Přiřazení rolí Azure externím uživatelům pomocí webu Azure Portal.

Všimněte si, že předdefinované role Azure se liší od rolí Microsoft Entra. Předdefinované role neudělí přístup k ID Microsoft Entra. Další informace najdete v tématu Vysvětlení různých rolí.

Informace, které porovnávají členské uživatele a uživatele typu host, naleznete v tématu Jaké jsou výchozí uživatelská oprávnění v Microsoft Entra ID?.

Změna správce služeb

Správce služeb předplatného může změnit pouze správce účtu. Když si zaregistrujete předplatné Azure, ve výchozím nastavení je správce služeb stejný jako správce účtu.

Uživatel s rolí správce účtu má přístup k webu Azure Portal a může spravovat fakturaci, ale nemůže rušit předplatná. Uživatel s rolí správce služeb má úplný přístup k webu Azure Portal a může rušit předplatná. Správce účtu se může nastavit jako správce služeb.

Podle těchto kroků změňte službu Správa istrator na webu Azure Portal.

  1. Přihlaste se na web Azure Portal jako správce účtu.

  2. Otevřete Cost Management + Billing a vyberte předplatné.

  3. Na levém navigačním panelu vyberte Vlastnosti.

  4. Vyberte Změnit správce služeb.

    Snímek obrazovky se stránkou vlastností předplatného, která zobrazuje možnost změnit službu Správa istrator

  5. Na stránce Upravit správce služeb zadejte e-mailovou adresu nového správce služeb.

    Snímek obrazovky s podoknem Upravit správce služby a změnou Správa istratoru služby

  6. Výběrem možnosti OK změnu uložte.

Odebrání správce služeb

Pokud chcete odebrat službu Správa istrator, musíte mít uživatele, který má přiřazenou roli Vlastník v oboru předplatného bez podmínek, aby se zabránilo osamocení předplatného. Vlastník předplatného má stejný přístup jako správce služeb.

  1. Přihlaste se k webu Azure Portal jako vlastník předplatného.

  2. Otevřete Předplatná a vyberte předplatné.

  3. Vyberte Řízení přístupu (IAM) .

  4. Vyberte kartu Klasičtí správci.

  5. Vedle správce služeb přidejte značku zaškrtnutí.

  6. Vyberte Odebrat.

  7. V okně se zprávou, které se zobrazí, vyberte Ano.

    Snímek obrazovky s odebráním klasické zprávy správce při odebírání služby Správa istrator

Pokud uživatel služby Správa istrator není v adresáři, může se při pokusu o odebrání služby Správa istrator zobrazit následující chyba:

Call GSM to delete service admin on subscription <subscriptionId> failed. Exception: Cannot delete user <principalId> since they are not the service administrator. Please retry with the right service administrator user PUID.

Pokud uživatel služby Správa istrator není v adresáři, zkuste změnit službu Správa istrator na existujícího uživatele a pak se pokuste odebrat službu Správa istrator.

Další kroky